基于Linux的多用途防火墻研究與設計

孫文乾

【摘 要】隨著高校校園網絡的規模普及和應用，校園信息化水平迅速提高，應用平臺為師生學習、學校管理提供了極大的便利，但是校園網絡安全也已經成為影響校園信息化發展的重要問題。本文根據筆者多年的校園網絡安全管理實踐經驗，基于Linux設計了一種多用途防火墻，可以針對不同的應用采用不同的出口，有效降低了防火墻的設計費用，提高了防火墻的效用。

【關鍵詞】Linux；防火墻；多出口；校園網

一、引言

隨著Internet技術的迅速發展，計算機網絡已經在遠程教育、教務管理、學籍管理、學校行政工作管理等校園網領域得到了廣泛的應用和發展，取得了良好的效果[1]。網絡的高速發展為學校行政管理人員、學生和教師帶來了極大的便利，但是也存在巨大的安全威脅，網絡安全已經引起了許多專家和學者的研究[2]。傳統的網絡安全防御策略采用的手段包括許多種，比如訪問控制、身份認證、數據加密等，以防御系統入侵，阻止病毒、木馬等入侵，但是隨著校園網應用平臺的增多，網絡入侵技術也迅速發展，因此必須針對不同的應用設置不同的防御規則，防火墻在這一方面具有先天的優勢[3]。

目前，校園網絡接入到互聯網或者教育網時，在網絡出口邊界部署多出口防火墻，能夠有效提升防火墻的利用價值，但是多出口防火墻造價非常昂貴，并且許多核心技術掌握在部分大公司里，比如思科、邁普等，導致各個學校的網絡建設需要承擔較大的資金壓力，阻礙了學校信息化水平的發展[4]。為了解決上述問題，本文基于筆者多年的校園網絡安全防御管理實踐經驗，基于Linux內置防火墻和路由器等，設計了一種校園網多用途防火墻，能夠實現不同的應用連接，價格低，配置靈活，具有較好的普及意義。

二、多用途防火墻功能分析

Linux操作系統作為一個開放式的網絡操作系統，其具有較好的穩定性、健壯性，并且價格低廉[5]。Linux操作系統自身擁有強大的防火墻，并且隨著互聯網技術發展，Linux防火墻也得到了廣泛的研究，因此利用Linux防火墻開發、設計多用途防火墻，適應現代校園網絡的需求，已經成為校園網絡防護的理想選擇。

目前，Linux防火墻使用iptables實現防火墻的包過濾功能，可以使用netfilter內核構建的過濾表進行配置實現多出口，其中默認表Filter配置了三個規則鏈，可以管理外界流入校園網接口數據的INPUT鏈、負責對網絡接口輸出的數據進行過濾的OUTPUT鏈和負責在網絡接口之間轉發數據過濾的FORWARD鏈。這些鏈都可以進行自由靈活的配置，比如連接互聯網網卡S1和S2上流入的數據的分析判斷工作，可以在INPUT鏈上完成，發現數據的目標地址是否屬于服務器區域網段、內部網絡網段等。

另外，多用途防火墻可以配置有效的包過濾規則，實現內網可以訪問外網（中國電信或教育網）和服務器區網；外網只能訪問服務器區網而不能訪問內網；而服務器區網不能訪問外網也不能訪問內網等功能，同時通過上述防火墻技術，可以隱藏真實的IP，防止IP欺騙現象的發生，能夠限制其他網絡的用戶對網絡內主機的訪問。

三、多用途防火墻架構設計

防火墻可以阻擋網絡的非法訪問，主要利用發給內部網的匹配安全規則、指定IP地址段以及數據包過濾等。校園網絡多出口防火墻上，可以僅僅開放80、110等必要端口，外網只能對EMAIL服務以及WWW服務進行訪問。內部用戶對因特網的訪問以及對Intemet的服務都有一定的限制。

另外，多出口防火墻主要包括網絡層防火墻、應用層防火墻以及數據庫防火墻等。網絡層防火墻主要運營在底層TCP/IP協議堆棧上，它只允許符合規則的封包通過。應用層防火墻能夠阻擋外部的數據流進入到受保護的網絡中。通過數據庫防火墻，能夠實現對數據庫的訪問控制。

本文設計的多用途防火墻實現架構如圖1所示。

本文在進行設計多多用途防火墻的過程中，基于Linux內置防火墻設置了多條規則，主要包括以下5類：

（1）校園網絡的內部用戶在對教育網內容進行訪問時，優先從1000M通道（教育網）通過；

（2）校園網絡的內部用戶在對國際網絡和國內的其它網絡進行訪問時，全部優先從1000M通道（電信）通過；

（3）外部教育網用戶在對校園網絡進行訪問時，優先從1000M通道（教育網）通過；

（4）國際網絡用戶以及國內其它網絡用戶在對教育服務器進行訪問時，優先從1000M通道（電信）通過；

（5）做到了電信和教育網兩個通道的熱機備份，保證了鏈路的不間斷，使網絡可以正常運行。

四、結束語

隨著校園網信息化應用平臺的增加，智能手機、PC、筆記本等固定、移動終端訪問校園網的頻次大大地增加，已經呈現出規?；仙?。因此，基于Linux技術實現多出口、多用途防火墻可以有效地設置靈活的包過濾規則，加強校園網應用平臺的使用，保證校園網絡的安全性，確保校園網利用率達到100%。

參考文獻：

[1]安子強.基于蜜罐技術的校園網安全防護系統的設計與實現[J].新鄉學院學報（自然科學版）.2011，27（1）：11-14.

[2]張盛，不詳.Linux系統中最實用的十大開源防火墻[J].計算機與網絡，2014， 24（2）：44-44.

[3]吳勇杰.Linux內核防火墻Netfilter架構實現與應用研究[J].電腦編程技巧與維護， 2013，31（14）：21-24.

基金項目：廣西教育廳科研項目，桂教科研[2010]10號，項目編號：201010LX477